Google Chromeはウェブサイトがユーザーの許可なくクリップボードに書き込みを行うことができる状態にある

Google Chromeで開いたウェブサイトが、ユーザーの許可を得ることなく、クリップボードに任意の文字列を書き込み可能であることが指摘されています。Chromeのバグ管理システムにおいても認識はされているものの、修正はなされていない状態です。

Chrome allows websites to write to the clipboard without the user’s permission | Hacker News
https://news.ycombinator.com/item?id=32614037

ソーシャルニュースサイト・Hacker Newsが示した再現手順を試してみました。まずは以下の「Web Platform News」というサイトにChromeでアクセス。

Web Platform News
https://webplatform.news/

次に、クリップボードの中身をどこかに貼り付けます。実際にテキストエディタに貼り付けたものがコレ。

メッセージの内容は「このメッセージがクリップボードにあるのは、ウェブサイトがユーザーの許可なくクリップボードに書き込みを行えるブラウザでWeb Platform Newsにアクセスしたためです。ご不便をおかけします。この問題に関する追加情報はGitHubをご覧ください」というもの。

Hello, this message is in your clipboard because you visited the website Web Platform News in a browser that allows websites to write to the clipboard without the user’s permission. Sorry for the inconvenience. For more information about this issue, see https://github.com/w3c/clipboard-apis/issues/182.

GitHubでtomayac氏が投稿した内容によると、画像をクリップボードにコピーするAPIのメソッド「navigator.clipboard.write()」および文字列をクリップボードにコピーするAPIのメソッド「navigator.clipboard.writeText()」は、FirefoxとSafariではユーザーによる操作が求められるのですが、Chromeではユーザーの操作なしで実行されるとのこと。Naleksuh氏は「これは以前から問題になっていたものです。この問題があるので、ランダムなウェブサイトでJavaScriptを有効にすべきではないのです」とコメントしています。

Interoperability issue: `navigator.clipboard.write()` and `navigator.clipboard.writeText()` user gesture requirement · Issue #182 · w3c/clipboard-apis · GitHub
https://github.com/w3c/clipboard-apis/issues/182

Chromeのバグ報告プラットフォームでは、クリップボードAPIの改良作業を行っていたMicrosoftのAnupam Snigdha氏が2022年6月に「read/writeText時のユーザージェスチャ要求を削除」をコミットしていることが確認されていて、プロジェクトメンバーから「これはプライバシーに関わる大問題です。ページはユーザーの操作なしでクリップボードの読み書きが可能になっていて、ただちに対処する必要があります。この種の後戻りを許可するには、長期的な解決策も必要になってきます」と指摘されています。

1334203 – NewTabPageDoodleShareDialogFocusTest.All test fails when user gesture is enforced. – chromium
https://bugs.chromium.org/p/chromium/issues/detail?id=1334203